Un prezioso documento sulla protezione dei dati

Un prezioso documento sulla protezione dei dati

La European network information security agency – ENISA - ha messo a disposizione un prezioso documento, che siamo lieti di condividere con i lettori. Questo documento rappresenta un concreto aiuto per migliorare le tecniche di protezione dei dati personali e diminuire la probabilità di violazioni, spesso pesantemente sanzionate.

L'evoluzione della tecnologia ha portato avanti nuove tecniche di condivisione, elaborazione e archiviazione dati. Ciò ha generato nuovi modelli di elaborazione dei dati (inclusi i dati personali), ma anche ha introdotto nuove minacce e sfide.

L’ evoluzione delle tecniche di protezione dei dati debbono fronteggiare le sfide associate alle tecnologie e alle applicazioni emergenti, che includono: mancanza di controllo e trasparenza, possibile riutilizzabilità dei dati, inferenza e re identificazione dei dati, profilazione e processo decisionale automatizzato.

L'attuazione dei principi di protezione dei dati del GDPR in tali contesti è impegnativa in quanto non sempre le tecniche di protezione dei dati possono essere implementate nel modo tradizionale, “intuitivo”. Le operazioni di elaborazione devono essere ripensate, a volte radicalmente (in corrispondenza quanto radicali possono diventare le minacce), possibilmente con la definizione di nuovi attori e responsabilità, e con un ruolo di primo piano per la tecnologia, come un elemento di garanzia.

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf

Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Le garanzie devono essere integrate nel trattamento, adottando appropriate tecniche e misure organizzative. Dal punto di vista tecnico, la sfida consiste nel tradurre questi principi in requisiti tangibili e specifiche per requisiti selezionando, implementando e configurando misure tecniche e organizzative appropriate. L'ingegneria della protezione dei dati può essere percepita come parte della protezione dei dati in base alla protezione per progettazione e per impostazione predefinita, come previsto dall’articolo 25 del regolamento generale europeo.

L’applicazione di questo articolo ha lo scopo di supportare la selezione, l'implementazione e la configurazione di tecniche appropriate e di misure organizzative al fine di soddisfare specifici principi di protezione dei dati.

Il rapporto allegato ha esaminato in modo più ampio l'ingegneria della protezione dei dati, in vista del supporto di professionisti e organizzazioni, in grado di dare attuazione pratica agli aspetti tecnici dei dati. In questa direzione questo rapporto presenta esistenti tecnologie e tecniche (di sicurezza) e discute i possibili punti di forza e l'applicabilità di queste tecniche, in relazione al rispetto dei principi di protezione dei dati di cui all'articolo 5 del GDPR. Sulla base dell'analisi fornita nella relazione, si offrono di seguito i responsabili titolari interessati le seguenti conclusioni e raccomandazioni.

Gli enti regolatori (ad es. Autorità per la protezione dei dati e Comitato europeo per la protezione dei dati) dovrebbero discutere e promuovere le buone pratiche in tutta l'UE in relazione allo stato dell'arte nonché alle soluzioni disponibili e tecnologie rilevanti.
Le istituzioni dell'UE potrebbero promuoverlo buone pratiche da documenti pertinenti disponibili al pubblico.
La comunità di ricerca dovrebbe continuare a esplorare la diffusione di tecniche e tecnologie che possano supportare l'implementazione pratica dei dati e dei principi di protezione, con il supporto delle istituzioni comunitarie in termini di policy guidance e finanziamento della ricerca.
Gli enti regolatori (ad es. Autorità per la protezione dei dati e Comitato europeo per la protezione dei dati) e la Commissione europea dovrebbero promuovere l'istituzione di pertinenti schemi di certificazione, ai sensi dell'articolo 42 del GDPR, per garantire la corretta ingegnerizzazione delle tecniche di protezione dei dati.

ENISA - Report (PDF)

Adalberto Biasiotti